Ssh

具有組授權的 SSH jumpbox

  • July 23, 2012

我正在嘗試設置 SSH Jumpbox。登錄 Jumpbox 的使用者需要能夠根據他們的組授權到另一個 SSH 伺服器。

(UserA 在 Project1 組,UserB 在 Project2 組,UserA 應該能夠 ssh 到 project1.com,但不能進入 UserB)

有沒有辦法在 Jumpbox 級別上實現這一點?

假設 jumpbox 是一個 linux 盒子,iptables可以在OUTPUT鏈上有用地限制哪些組成員可以連接到哪些伺服器。就像是

iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECT

它有一個方便的副作用,即限制 project1 組的成員除了ssh’ing 到 project1.com 之外的任何事情,對於 project2 和 project2.com 也是如此。如果您限制流量,您可能還需要INPUT鏈中的一些相應規則。INPUT

引用自:https://serverfault.com/questions/410276